Clair, qu'est-ce que c'est ?

Les données sur les vulnérabilités sont importées depuis un ensemble de sources connu et mises en corrélation avec les images de conteneurs indexées afin d'établir une liste des vulnérabilités qui menacent un conteneur, tout cela en continu. Lorsque ces données sont modifiées en amont, l'état antérieur et le nouvel état des vulnérabilités (ainsi que les images concernées) sont envoyés à un point de terminaison configuré via un script web automatique. Les principaux composants peuvent être personnalisés par programmation lors de la compilation sans compromettre le projet. Clair prend en charge la sécurité des conteneurs grâce aux fonctions suivantes :

• Mise à jour des données sur les vulnérabilités à partir d'un ensemble de sources que vous définissez et stockage de ces données dans la base Clair
• Interrogation de la base de données pour rechercher les vulnérabilités dans des images spécifiques, via une API
• Indexation des images de conteneurs à partir d'une liste de caractéristiques présentes dans les images, via une API

Clair analyse chacune des couches de conteneurs et signale les vulnérabilités susceptibles de présenter une menace, en s'appuyant sur la base de données CVE (Common Vulnerabilities and Exposures) et d'autres bases de données similaires de Red Hat®, Ubuntu et Debian. Étant donné que les couches peuvent être partagées entre de nombreux conteneurs, l'introspection est essentielle pour créer un inventaire de paquets et le corréler avec les CVE identifiées.

Clair prend également en charge les gestionnaires de paquets de langage de programmation, à commencer par Python, ainsi qu'une nouvelle API axée sur les images.

Grâce à la détection automatique des vulnérabilités, les équipes d'exploitation et de développement sont davantage sensibilisées, bénéficient de meilleures pratiques de sécurité et sont donc plus à même de corriger ces vulnérabilités. Lorsque de nouvelles vulnérabilités sont signalées, Clair peut identifier instantanément, sans analyse supplémentaire, les couches qui sont vulnérables et envoyer les notifications correspondantes.

Par exemple, bien que la vulnérabilité CVE-2014-0160, aussi appelée Heartbleed, soit connue depuis longtemps, l'analyse de sécurité de Red Hat Quay a repéré qu'elle représentait toujours une menace potentielle pour une grande partie des images de conteneurs que les utilisateurs ont stockées sur la solution Quay. 

En général, les vulnérabilités ne peuvent être exploitées que sous certaines conditions. Par exemple, la vulnérabilité Heartbleed représente une menace uniquement si le paquet vulnérable OpenSSL est installé et utilisé. L'outil Clair n'est pas adapté à ce niveau d'analyse, ce qui impose aux équipes de réaliser une analyse plus approfondie.

Clair s'intègre à la solution Open Source Project Quay. La plateforme KubernetesRed Hat OpenShift® peut utiliser Clair pour la sécurité des conteneurs grâce à un opérateur Kubernetes qui fait lui-même partie de la solution Red Hat Quay. Red Hat Quay est une plateforme de registre d'images de conteneurs Open Source qui vous permet de créer, distribuer et déployer des conteneurs sur les datacenters du monde entier, en privilégiant des environnements et des modèles de développement cloud-native et DevSecOps.

L'opérateur de sécurité des conteneurs Quay intégré à la solution Red Hat OpenShift vous permet de renforcer la sécurité de vos référentiels d'images grâce à des systèmes d'automatisation, d'authentification et d'autorisation. La solution Red Hat Quay est fournie avec Red Hat OpenShift ou disponible en tant que composant autonome.

Dans le cadre de son engagement en faveur des communautés Open Source, Red Hat va continuer de prendre part au développement de Project Quay en tant que membre de la Cloud Native Computing Foundation.

Red Hat contribue largement à la conception de nouvelles fonctions pour Clair et Project Quay. Nous exécutons également l'une des principales bases de données de vulnérabilités utilisées par Clair. Par ailleurs, Red Hat exploite la plus grande installation de Clair via quay.io, qui sert d'environnement de test de charge en conditions réelles.